SonicWall eszközöket használ ki az Akira ransomware
Az Akira ransomware csoporthoz tartozó fenyegető szereplők továbbra is a SonicWall eszközöket célozzák meg a kezdeti hozzáféréshez. A Rapid7 kiberbiztonsági cég szerint az elmúlt hónapban megnőtt a SonicWall eszközökkel kapcsolatos behatolások száma, különösen azok után, hogy 2025 július végén újból jelentették az Akira ransomware aktivitását. A SonicWall ezt követően felfedte, hogy a tűzfalaira irányuló SSL VPN-tevékenység egy egyéves biztonsági réssel (CVE-2024-40766, CVSS pontszám: 9,3) volt kapcsolatos, amelynek során a helyi felhasználói jelszavak nem lettek visszaállítva.
A kockázat csökkentése érdekében az ügyfeleknek engedélyezniük kell a botnet-szűrést az ismert fenyegető szereplők blokkolása érdekében, és gondoskodniuk kell az account lockout (fiókzár) szabályok engedélyezéséről.
A SonicWall arra is felszólította a felhasználókat, hogy vizsgálják felül az LDAP SSL VPN alapértelmezett felhasználói csoportjait. Ez a beállítás automatikusan minden sikeresen hitelesített LDAP felhasználót hozzáad egy előre meghatározott helyi csoporthoz, függetlenül attól, hogy azok ténylegesen tagjai-e az Active Directory-nek. Ha ez az alapértelmezett csoport hozzáférhet érzékeny szolgáltatásokhoz – például SSL VPN-hez, adminisztrációs felületekhez vagy korlátozás nélküli hálózati zónákhoz –, akkor bármely kompromittált AD-fiók azonnal megkapja ezeket a jogosultságokat.
A Rapid7 riasztásában azt is közölte, hogy megfigyelte, hogy a fenyegetés szereplői hozzáférnek a SonicWall eszközök által üzemeltetett Virtual Office Portalhoz, amely bizonyos alapértelmezett konfigurációkban megkönnyítheti a nyilvános hozzáférést, és lehetővé teheti a támadók számára, hogy érvényes fiókokkal konfigurálják az mMFA/TOTP-t, feltéve, hogy előzetesen hozzáfértek a hitelesítő adatokhoz.
